El ransomware que atacó Estados Unidos el 4 de julio: REvil, el extorsionador

En el tema de los ciberataques y la piratería informática, queda claro que nadie está a salvo, y a cualquiera le pueden hackear el ordenador, el móvil, etc, sin que tenga nada que ver si es rico o pobre, currante o conde. Pero hay criminales que prefieren atacar a lo grande, e irse a por los botines más suculentos

Ransomware, el malware preferido



El 'ransomware' es un tipo de ciberamenaza que infecta un equipo o una red para encriptarlos y robar la información que contienen, y para su liberación exigen a cambio un pago, generalmente en una criptomoneda. Pero los ataques modernos son selectivos, adaptables y sigilosos, y utilizan enfoques que ya han sido probados y perfeccionados por los grupos de amenazas persistentes avanzadas (APT).


Según un informe de los expertos en ciberseguridad de Trend Micro, los actores del ransomware moderno identifican y apuntan a los datos valiosos, a menudo exfiltrándolos de la organización de la red de la víctima en lugar de simplemente cifrarlos. Esto les da otra vía de extorsión: si la víctima no paga el rescate, el atacante puede amenazar con hacer públicos los datos privados. Y para las empresas que tienen datos de propiedad intelectual, información de propiedad, datos privados de los empleados y datos de los clientes, esto es una preocupación seria.

Porque en su sector, “cualquier filtración de datos conllevará sanciones reglamentarias, demandas judiciales y daños a la reputación”.

REvil

Un viejo conocido del que ya hemos hablado otras veces, REvil es un ransomware como servicio (RaaS), suministrado por grupos de agentes “afiliados” a los que pagan los desarrolladores del ransomware. Los clientes de los proveedores de servicios gestionados han sido un objetivo de los asociados a REvil y otros operadores de ransomware en el pasado, incluido un brote de ransomware en 2019 (posteriormente atribuido a REvil) que afectó a más de 20 pequeñas administraciones locales en Texas.

Además, con la disminución de otras ofertas de RaaS, REvil se ha vuelto más activo. Según los expertos en Ciberseguridad de Sophos, “sus asociados han sido excesivamente persistentes en sus esfuerzos últimamente, trabajando continuamente para subvertir la protección contra el malware. En este brote en particular, los agentes de REvil no sólo encontraron una nueva vulnerabilidad en la cadena de suministro de Kaseya, sino que utilizando las excepciones exigidas por el fabricante para con los sistemas de protección (C:\Program Files\Kaseya\ y similares) están siendo capaces de desplegar un el código ransomware de REvil”.

Extorsionando a América el 4 de julio

El pasado viernes, mientras muchas empresas de Estados Unidos ya tenían al personal fuera de la oficina o se preparaban para un fin de semana largo por las celebraciones por el Día de la Independencia del 4 de julio, un agente asociado al grupo de ransomware REvil puso en marcha un ataque de criptoextorsión generalizado.

Utilizando un exploit (vulnerabilidad) del servicio de gestión remota VSA de Kaseya, los actores de REvil lanzaron "un paquete de actualización malicioso dirigido a los clientes de proveedores de servicios gestionados" y a los usuarios empresariales de la versión local de la plataforma de gestión y monitorización remota VSA de Kaseya.



Los operadores de REvil publicaron en su blog que más de un millón de dispositivos habían sido infectados por la actualización maliciosa. También dijeron que estaban dispuestos a proporcionar un desencriptador universal para las víctimas del ataque, pero a cambio de que se les pagaran 70 millones de dólares en bitcoins.

El alcance de la vuelta de REVil se está traduciendo en más de 70 proveedores de servicios gestionados afectados, lo que ha provocado un efecto de contagio a más de 350 organizaciones afectadas en todo el mundo.

Según Ross McKerchar, VP y Director de Seguridad de Información de Sophos, “Creemos que el alcance total de las organizaciones víctimas de este ciberataque es mayor de lo que haya informado cualquier empresa de seguridad individual. Las víctimas abarcan una gama de ubicaciones en todo el mundo, con la mayor parte en Estados Unidos, Alemania y Canadá, así como otras tantas en Australia, el Reino Unido y otras regiones”.

Cibersecuestros alrededor del mundo


Algunos atacantes de ransomware que han tenido éxito “han recaudado millones de dólares en concepto de rescate, lo que les ha permitido comprar exploits de día cero muy valiosos”. Ciertos exploits suelen considerarse sólo al alcance de estados-nación. Mientras que los “estados-nación” los utilizarían con moderación para un ataque aislado específico, un exploit en manos de los ciberdelincuentes para una vulnerabilidad en una plataforma global puede “perturbar muchas empresas a la vez y tener impacto en nuestra vida cotidiana”, según Sophos.

Lo que es seguro es que no será la última vez que veremos a REvil en acción, dado lo eficaz que demuestra ser en su terreno.